03 Июля 2013, среда

Проблемы реализации сертифицированного удаленного доступа (Remote VPN) к корпоративной вычислительной сети

Автор: Сергей Борисов

Почти в каждом проекте по созданию комплексной системы обеспечения информационной безопасности (ИБ) или системы защиты ПДн возникают вопросы:

• возможно ли организовать удаленный доступ к защищаемым данным?
• будут ли поддерживаться все имеющиеся в организации технические средства, с которых пользователи обрабатывают информацию?
• какие проблемы возникнут при использовании сертифицированных ФСБ решений и криптографических алгоритмов, соответствующих российским ГОСТам?
• какой максимальный класс криптографической защиты может быть обеспечен?

Чтобы упростить поиск ответов на эти вопросы, ниже приведен анализ наиболее известных в России сертифицированных решений класса Remote VPN.

Вопросы необходимости сертификации СКЗИ, функциональные возможности средств защиты в данной статье не рассматриваются, так как это отдельные и большие по объему темы.

Сложности и ограничения

Посмотрим, с какими сложностями и ограничениями сталкиваются пользователи сертифицированных криптографических решений класса Remote VPN по сравнению с пользователями несертифицированных решений класса Remote VPN.

Во-первых, должны учитываться требования нормативных актов РФ (далее пример для операторов ПДн):

• ПП РФ 1119, пункт 13;
• ПКЗ-2005 ФСБ России;
• Приказ 152 ФАПСИ (ФСБ России);
• Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, ФСБ России;
• Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, ФСБ России.

Выполнение требований данных нормативных актов повлечет применение большого количества дополнительных мер, разработки и поддержания комплекта документов, приведенного в приложении 3.

Во-вторых, должны учитываться условия и ограничения из документации на Remote VPN:

• Сертификат на СКЗИ Remote VPN (как правило, в нем указывается, что исполнение требований достигается в определенном исполнении продукта и при условии выполнения требований, приведенных в формуляре и, возможно, других документах);
• Формуляр на СКЗИ Remote VPN (как правило, в нем указывается необходимая комплектация исполнения, поддерживаемые ОС, другие ограничения, а так же указывается обязательность соблюдения правил использования СКЗИ);
• Правила использования СКЗИ Remote VPN (документ может называться по-разному для разных СКЗИ, на документ может существовать ссылка из сертификата, формуляра, а так-же он требуется в соответствии с пунктом 46 ПКЗ-2005, но принципы для всех СКЗИ,за небольшими исключениями, схожие).

Во-третьих, должны учитываться условия и ограничения из документации на сертифицированное CSP (так как выделенные криптосервиспровайдеры входят в комплектацию большинства средств VPN, а формуляр Remote VPN ссылается на сертификат и формуляр CSP):

• Сертификат на СКЗИ CSP (ссылка на исполнение и требования формуляра);
• Формуляр на СКЗИ CSP (комплектация, перечень ОС, ограничения и ссылка на правила);
• Правила использования СКЗИ CSP (иногда правила использования Remote VPN напрямую ссылаются на правила использования CSP).

Во-четвертых, должны учитываться условия и ограничения из документации на средства защиты от несанкционированного доступа (НСД) (электронные замки с сертификатами ФСБ, которые перечислены в формулярах на СКЗИ в исполнении по КС2 и выше)

• Сертификат на СЗИотНСДпоФСБ (ссылка на исполнение и требования формуляра);
• Формуляр на СЗИотНСДпоФСБ (комплектация, перечень ОС, ограничения и ссылка на правила);
• Правила использования СЗИотНСДпоФСБ .

В-пятых, должны учитываться необходимость дополнительного сертифицированного удостоверяющего центра (УЦ), так как при использовании аутентификации пользователей или шлюзов по сертификатам (PKI) требуется использование УЦ, сертифицированного по классу не меньшему чем СКЗИ).

Вариант Remote VPN класса КС1

Рассмотрим самый простой вариант Remote VPN класса КС1 и сравним, насколько он сложнее несертифицированного Remote VPN. Для класса КС2 все приведенные условия так же будут справедливы, с добавлением еще нескольких.

1. Операционные системы (смотреть таблицы в Приложении 1). Рассмотрев статистику использования ОС и мобильных ОС, можно сделать следующие вывод: примерно 13% наших пользователей с ноутбуками (с операционными системами Windows 8, OS X, Linux) останутся без Remote VPN. С мобильными устройствами совсем беда – есть решение только у одного вендора и только для iOS. То есть «за бортом» остается существенная часть сотрудников.
2. В зависимости от решения, по-разному могут быть предъявлены требования к защите от влияния аппаратных компонентов технических средств на функционирование СКЗИ при защите ПДн. Например, в варианте S-Terra VPN Client (Приложение 2 - 9) для этого требуется проводить тематические исследования BIOS. Стоимость таких работ на порядок больше стоимости самого решения. В варианте StoneGate VPN Client (Приложение 2 - 12) рекомендуется проводить исследования BIOS ещё и на технических средствах субъектов ПДн, данные которых обрабатываются в организации.
3. При подключении технического средства с СКЗИ к сетям связи общего доступа (а Remote VPN и предназначен для работы через такие подключения) требуется использовать сертифицированные средства межсетевого экранирования (Приложение 2 – 13 и Приложение 2 – 15). То есть необходимо либо использовать Remote VPN со встроенным МЭ, либо применять дополнительный.
4. При использовании для аутентификации пользователей Remote VPN сертификатов PKI (а именно такой вариант надежнее паролей) необходимо использование Удостоверяющего центра (УЦ), сертифицированного по классу криптографической защиты не меньшему, чем решение Remote VPN (Приложение 2 - 1). При этом для некоторых решений явно разрешено использование предопределенных ключей pre-shared key (Приложение 2 - 11)
5. Разворачивание в организации сертифицированного удостоверяющего центра, помимо приобретения лицензий, серверов, АРМ оператора, средств защиты от НСД, влечет за собой в том числе установку сертифицированного ФСБ межсетевого экрана (Приложение 2 - 8).
   Итого:
   • Использование внешнего сертифицированного УЦ увеличит стоимость решения примерно на 2000 руб. на пользователя ежегодно.
   • Использование собственного сертифицированного УЦ увеличит стоимость решения примерно на 2000 руб. на пользователя.
   • Использование имеющихся в организации несертифицированных УЦ (таких как Microsoft Active Directory Certificate Cervices) нелегитимно.
   
   
6. При использовании сертифицированного Remote VPN мы ограничены при определении срока действия сертификата пользователя. Мы обязаны менять его раз в год, а максимальный срок жизни не может превышать 1 год и 3 месяца. (Приложение 2 – 3 и Приложение 2 - 10). В случае с несертифицированным мы можем выбирать срок в соответствии с корпоративной политикой – например 3 года и, соответственно, уменьшить трудозатраты на эксплуатацию решения.
7. При хранении закрытых ключей или сертификатов пользователя на локальном диске или реестре (случай, когда не применяются eToken) мы обязаны для технических средств (ноутбуков) принимать меры, аналогичные ключевым носителям (Приложение 2 - 3). А меры по защите ключевых носителей требуются немаленькие, в том числе регистрировать их как носители, регистрировать помещения в которых на них работаем, обеспечивать отсутствие к ним доступа посторонних лиц, убирать во внерабочее время в сейф и т.п.
8. При использовании сертифицированных Remote VPN заброшено использование беспроводных каналов связи (Приложение 2-4 и Приложение 2-7). Скажите “нет” WiFi, 3G, 4G, bluetooth, NFC. Что остается мобильному пользователю с ноутбуком? Также придется отключать беспроводные мышки и клавиатуры.
9. При использовании сертифицированного Remote VPN потребуется внедрить обязательные организационные меры, разработать и поддерживать порядка 17 документов (Приложение 3)

Выводы: использование сертифицированного Remote VPN может потребовать приобретение дополнительных продуктов, в несколько раз увеличивающих стоимость поставки. Кроме того, потребуется проведение дополнительных работ, объем которых могут на порядок превосходить работы по внедрению технического решения Remote VPN. И в конечном итоге пользователям придется учитывать все приведенные выше ограничения сертифицированного решения.

Организациям, проводящим анализ рисков и актуальности угроз и выбирающим полностью легитимный сертифицированный Remote VPN надо учитывать, что его стоимость будет в разы превосходить стоимость несертифицированного аналога.

Вариант Remote VPN класса КС2 (и выше)

Для класса КС2 все приведенные условия и ограничения класса КС1также будут справедливы, но добавится ещё одно: в формулярах на все СКЗИ в исполнении КС2 указывается необходимость использование средств защиты от несанкционированного доступа из следующего перечня:

• Программно-аппаратный комплекс с физическим датчиком случайных чисел "Соболь";
• Аппаратно-программный модуль доверенной загрузки универсальный КРИПТОН-ЗАМОК/У;
• Программно-аппаратное средство "Аккорд-АМДЗ";
• Специальный загрузочный носитель - СЗН "МАРШ!-USB".

Возьмем, к примеру, «Аккорд-АМДЗ». Единственными моделями, подходящими для ноутбуков, являются варианты Mini PCI Express и Mini PCI Express half-size. Но и в них поддерживаются далеко не все модели BIOS и аппаратных платформ на ноутбуках. Перечень моделей, протестированных производителем, невелик (порядка 25). Перед каждым проектом нужно собирать подробный перечень моделей и отправлять производителю + время на тестирование + не для всего оно реализуется.

Например, у нашего пользователя есть достаточно популярный MacBook Air . Куда там ставить Mini PCI Express? Его и открывать-то нельзя. А если откроем – увидим, что свободного слота там нет. Операционная система OS X Lion этого ноутбука также не поддерживается.

С «Соболем» ситуация аналогична «Аккорду», даже хуже, потому что модель Mini PCI Express только появилась и даже не сертифицирована ФСБ.

«Криптон» – это вообще только PCI Express и для ноутбуков не подходит.

«МАРШ!» – вроде бы подходит для всех ноутбуков, поддерживающих с USB. Но какие он поддерживает ОС – Fedora и AltLinux? А где же наш Windows 7 Корпоративный (про OS X молчу)? Пересаживать всех пользователей на Linux? Нет – руководство организации на это не пойдет (ведь они же первые используют удаленный доступ с ноутбуков).

Вывод неутешителен: если речь идет о ноутбуках, то решения класса КС2 фактически отсутствуют. С планшетами ситуация ещё хуже.

Возникает вопрос – а кто вообще будет требовать КС2/КС3 для удаленного доступа? Кому пришла в голову “рыть себе яму”?

• Во-первых, такая ситуация возникает, когда пишется модель нарушителя по ФСБ сразу для всей области защиты. КС1 – это нарушитель Н1. Н1 – это нарушитель, не имеющий физического доступа к средствам обработки организации. Н2 отличается от Н1 тем, что может получить физический доступ к средствам обработки организации. Чтобы обосновать Н1, нам фактически придется обосновать, что все сотрудники являются доверенными лицами. Если честно, то после такого сильного утверждения применять средства защиты внутри организации вообще не требуется.
• Во-вторых, требуемый класс защиты часто спускается отраслевым регулятором или вышестоящей организацией.
• В третьих КС2 или даже КС3 может потребоваться в соответствии с будущими документами ФСБ по защите ПДн

В рамках вышеописанного производителям хочу посоветовать внимательно подходить к разработке документов на ваши СКЗИ. Любая лишняя фраза может привести к миллионам дополнительных затрат у пользователей, а то и вовсе к невозможности использования сертифицированного решения.

Приложения

Источник: Sec.ru